Contas de serviço do Cloud Data Fusion

Antes de começar

Veja como as contas de serviço funcionam no Identity and Access Management.

Projetos de locatário e cliente

O Cloud Data Fusion configura contas de serviço para acessar recursos nos seguintes projetos:

Projeto de locatário

O Cloud Data Fusion cria um projeto de locatário para manter os recursos e serviços necessários para gerenciar pipelines em seu nome. Por exemplo: executar pipelines nos clusters do Dataproc que residam no projeto do cliente. Um projeto de locatário não é exposto aos clientes, mas quando você cria uma instância particular, talvez seja necessário usar o nome do projeto de locatário para configurar o peering de VPC.

Para mais informações, consulte a documentação da infraestrutura de serviços sobre projetos de locatário.

Projeto do cliente

O cliente cria e é proprietário deste projeto. Por padrão, o Cloud Data Fusion cria um cluster temporário do Dataproc neste projeto para executar os pipelines do cliente.

O diagrama a seguir mostra uma instância do Cloud Data Fusion em execução em um projeto de locatário. Além disso, apresenta um pipeline em execução em um cluster do Dataproc em um projeto de cliente.

Implante o pipeline.

Contas de serviço no Cloud Data Fusion

Uma conta de serviço fornece uma identidade para o Cloud Data Fusion, que oferece acesso ao Cloud aos seus recursos.

Quando você ativa a API Data Fusion, o Cloud Data Fusion cria uma conta de serviço gerenciada pelo Google para ter acesso a recursos como Service Networking, Dataproc, Cloud Storage, BigQuery, Cloud Spanner e Cloud Bigtable. Essa conta de serviço é chamada de agente de serviço da API Cloud Data Fusion. Os papéis são concedidos automaticamente a esse agente de serviço.

Uma conta de serviço é identificada por seu endereço de e-mail, que é exclusivo.

A tabela a seguir lista os tipos de contas de serviço usadas no Cloud Data Fusion. Para mais informações, consulte Tipos de contas de serviço na documentação do IAM.

Conta de serviço Descrição
service-customer-project-number@gcp-sa- datafusion.iam.gserviceaccount.com A conta de serviço gerenciada pelo Google, chamada de agente de serviço da API Data Fusion, criada pelo Cloud Data Fusion para ter acesso aos recursos do cliente a fim de poder agir em nome do cliente. Ela é usada no projeto de locatário para acessar os recursos do projeto do cliente. Por exemplo, a visualização é executada na memória, e não em um cluster do Dataproc.
customer-project-number- compute@developer.gserviceaccount.com A conta de serviço padrão do Compute Engine que o Cloud Data Fusion cria para implantar jobs que acessam outros recursos do Google Cloud. Por padrão, ele é anexado a uma VM de cluster do Dataproc para permitir que o Cloud Data Fusion acesse recursos do Dataproc durante uma execução de pipeline. Na edição Enterprise do Cloud Data Fusion, é possível executar pipelines de uma conta de serviço gerenciada pelo usuário criando um perfil no console do Cloud Data Fusion → Administrador do sistema → guia "Configuração" e adicionando a conta de serviço personalizada. Nas versões 6.2.3 e posteriores, é possível escolher uma conta de serviço personalizada para anexar ao cluster do Dataproc ao criar uma instância do Cloud Data Fusion. Para mais informações, consulte Contas de serviço no Dataproc.
cloud-datafusion-management-sa@tenant-project- id.iam.gserviceaccount.com Obsoleto. Atualmente, essa conta de serviço não é criada ou usada. Ele é como um campo de API para encontrar o nome do projeto de locatário a ser usado no peering (consulte Configurar peering de Rede VPC).

A seguir